如何使用FalconEye实时检测Windows进程注入行为
关于FalconEye
FalconEye是一款功能强大的Windows终端安全检测工具,旨在帮助研究人员实时监测Windows进程注入行为。作为一款内核模式驱动工具,FalconEye能够在内核级别运行,从而提供一个坚固可靠的安全防御机制,有效抵御那些试图绕过用户模式钩子的进程注入技术。
工具架构
值得注意的是,我们的重点始终是检测任务本身,而不是开发一个高性能的检测引擎。
项目目录结构
代码语言:javascript 代码运行次数:0
运行 复制 ```javascript .├── src │ ├── FalconEye ---------------------------# FalconEye用户和内核空间 │ └── libinfinityhook ---------------------# 内核钩子实现 ├── 2025BHASIA_FalconEye.pdf └── README.md ```工具要求
工具安装
项目构建
测试设备部署
在虚拟机中安装Windows 10 Build 1903/1909;
配置虚拟机以测试未签名的驱动程序,使用bcdedit,禁用完整性检测:
代码语言:javascript 代码运行次数:0
运行 复制 ```javascript BCDEDIT /set nointegritychecks ON ```在虚拟机中运行DbgView,或使用WinDbg开启一个调试连接;
工具使用
我们需要将sys文件复制到测试设备(Windows 10虚拟机)中;
使用OSR加载器或类似的工具,以“按需”加载驱动器的形式加载sys;
运行类似pinjectra或minjector之类的注入测试工具;
通过WinDbg或DbgView监控调试日志;
项目地址
FalconEye:【点击底部阅读原文获取】
